Палітыка апрацоўкі персанальных дадзеных

ПОЛИТИКА
в отношении обработки
персональных данных в
государственном учреждении
образования «Гимназия № 1 имени В.А.Короля г.Червеня»

ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящая политика обработки и защиты персональных данных (далее – Политика) определяет цели сбора, правовые основания, условия и способы обработки персональных данных, права и обязанности оператора, субъектов персональных данных, объём и категории обрабатываемых персональных данных и меры их защиты в государственном учреждении образования «Гимназия № 1 имени В.А.Короля г.Червеня».
2. Политика в отношении обработки персональных данных в гимназии разработана в соответствии с Конституцией Республики Беларусь, Кодексом Республики Беларусь, Законом Республики Беларусь от 7 мая 2021 г. №99-З «О защите персональных данных» (далее – Закон о защите персональных данных), Законом Республики Беларусь от 10 ноября 2008 г. №455-З «Об информации, информатизации и защите информации».
3. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в гимназии, разрабатываются с учетом положений Политики.
4. Политика вступает в силу с момента ее утверждения, действует в отношении всех персональных данных, обрабатываемых учреждением образования, распространяется на все действия, совершаемые учреждением с персональными данными, на отношения в области обработки персональных данных, возникшие в гимназии как до, так и после утверждения Политики.
5. Действие Политики распространяется на персональные данные, которые гимназия обрабатывает с использованием и без использования средств автоматизации.
6. Требования настоящей Политики обязательны для исполнения всеми работниками гимназии, получившими в установленном порядке доступ к персональным данным.
7. В Политике используются следующие понятия:

биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);

блокирование персональных данных – прекращение доступа к персональным данным без их удаления;

генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;

оператор – гимназия либо другой государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том  числе индивидуальный предприниматель (далее, если не определено иное, - физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;

персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенных лиц или круг лиц;

специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства;

удаление персональных данных – действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;

физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

8. Гимназия как оператор персональных данных, осуществляет обработку персональных данных учащихся, их законных представителей, работников учреждения образования, а также других субъектов персональных данных, обработка персональных данных которых предусматривается на основании целей, предмета деятельности, прав, обязанностей учреждения, определенных Уставом, иными ЛПА, и нормативными правовыми актами.
9. Гимназия обрабатывает персональные данные:

работников, в том числе бывших;

кандидатов на замещение вакантных должностей;

учащихся;

родителей (законных представителей) учащихся;

физических лиц по гражданско-правовым договорам;

физических лиц, указанных в заявлениях (согласиях, доверенностях); учащихся и родителей (законных представителей) несовершеннолетних учащихся;

физических лиц – посетителей гимназии.

10. Биометрические персональные данные гимназия не обрабатывает.

ПРИНЦИПЫ И ЦЕЛИ

ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11. Обработка персональных данных в гимназии осуществляется с учетом необходимости обеспечения защиты прав и свобод учащихся, их законных представителей, работников учреждения, в том числе защиты права на прикосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

обработка персональных данных осуществляется на законной и справедливой основе;

обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;

обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;

обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;

содержание и объём обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;

обработка персональных данных носит прозрачный характер. Субъекту персональных данных в порядке и на условиях, установленных Законом о защите персональных данных, предоставляется соответствующая информация, касающаяся обработки его персональных данных;

обеспечивается принятие необходимых и достаточных мер по защите персональных данных к ним, изменения, блокирования, копирования, распространения, предоставления, удаления, а также от иных неправомерных действий;

обеспечивается хранение персональных данных в форме, позволяющей идентифицировать субъект персональных данных, не дольше, чем этого требуют заявленные цели их обработки;

принимать меры по обеспечению достоверности обрабатываемых персональных данных, при необходимости – их обновление.

12. Персональные данные обрабатываются в гимназии в целях:

обеспечения соблюдения Конституции Республики Беларусь об образовании, законодательных и иных нормативных правовых актов и ЛПА;

организации образовательного процесса на I, II, III ступенях общего среднего образования;

выполнения функций, полномочий и обязанностей, возложенных на работников учреждения образования;

проведения мероприятий и обеспечения участия в них субъектов персональных данных;

обеспечения защиты жизни, здоровья, имущества или иных жизненно важных интересов субъектов персональных данных;

проведения гимназией акций, опросов, исследований, иных аналогичных мероприятий;

привлечения, отбора, проверки кандидатов (в том числе их квалификации опыта работы);

регулирование трудовых и иных непосредственно связанных с ними отношений гимназии с работниками (ведения кадрового резерва, обучения, продвижения по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, выдача доверенностей и иных уполномочивающих документов, обеспечения сохранности имущества и материальных ценностей, предотвращения правонарушений и иных);

выявления конфликта интересов;

осуществления функций, полномочий и обязанностей, возложенных законодательством на учреждение образования, в том числе по предоставлению персональных данных третьим лицам;

раскрытия иной информации в объемах и порядке, установленном законодательством;

обеспечения безопасности, обеспечения пропускного режима в учреждении образования;

формирования справочных и аналитических материалов для внутреннего информационного обеспечения деятельности учреждения в рамках выполнения стоящих перед ним задач;

осуществления прав и законных интересов учащихся, предусмотренных законодательством;

в иных целях, вытекающих из требований законодательства.

13. Гимназия вправе:

использовать персональные данные субъектов персональных данных без их согласия в случаях, предусмотренных законодательством;

предоставлять персональные данные субъектов персональных данных третьим лицам в случаях, предусмотренных законодательством.

ОСНОВНЫЕ МЕРЫ ПО ОБЕСПЕЧНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПРЕДПРИНИМАЕМЫЕ ГИМНАЗИЕЙ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

14. Гимназия при осуществлении обработки персональных данных принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства в сфере защиты персональных данных, в том числе:
    
    

предоставляет субъектам персональных данных необходимую информацию до получения их согласий на обработку персональных данных;

разъясняет субъектам персональных данных их права, связанные с обработкой персональных данных;

получает письменные согласия субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством;

определяет должностное лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;

организует назначение работников, ответственных за реализацию настоящей Политики и иных ЛПА по вопросам обработки персональных данных (далее, если не оговаривается иное – ответственные работники);

принимает ЛПА, определяющие вопросы обработки и защиты персональных данных;

определяет перечень должностей работников, осуществляющих обработку персональных данных, информационные ресурсы и системы, собственником (владельцем) которых является гимназия, содержащие персональные данные работников, учащихся и их законных представителей.

15. Гимназия обеспечивает:

ознакомление работников учреждения и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства в области обработки персональных данных, в том числе с требованиями по защите персональных данных, ЛПА, определяющими политику гимназии в отношении обработки персональных данных;

обучение указанных работников гимназии.

16. Гимназия определяет задачи и функции ответственных лиц в вопросах защиты персональных данных.
17. Гимназия устанавливает порядок доступа к персональным данным, в том числе обрабатываемым в информационных ресурсах;
18. Гимназия гарантирует реализацию права субъектам персональных данных на получение информации, касающейся обработки персональных данных данного субъекта, а также на реализацию иных прав субъектов персональных данных в соответствии с Законом о защите персональных данных.
19. Гимназия обеспечивает:

в установленном порядке техническую защиту персональных данных;

прекращение обработки персональных данных, а также их удаление или блокирование, а равно обеспечивает прекращение обработки персональных данных и их удаление или блокирование уполномоченным лицом при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;

изменение, блокирование или удаление недостоверных или полученных незаконных путем персональных данных субъекта персональных данных по требованию уполномоченного органа (если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами);

хранение персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;

проводит инвентаризацию и организует усовершенствование процессов обработки персональных данных;

проводит анализ ЛПА на соответствие нормам настоящей Политики и обеспечивает внесение при необходимости изменений в ЛПА;

реализует иные мероприятия, предусмотренные законодательством в области обработки персональных данных.

20. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах устанавливаются в соответствии с ЛПА, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах гимназии.

ПЕРЕЧЕНЬ ОСНОВНЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, КОТОРЫЕ ОБРАБАТЫВАЮТСЯ В ГИМНАЗИИ

21. В гимназии обрабатываются персональные данные следующих основных категорий субъектов персональных данных:

учащихся;

законных представителей учащихся;

работников учреждения образования;

других субъектов персональных данных, выразивших согласие на обработку гимназией их персональных данных, или физических лиц, обработка персональных данных которые необходимы гимназии для достижения целей, предусмотренных законодательством.

 

ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

22. Субъекты персональных данных имеют право на:

отзыв в любое время без объявления причин своего согласия путем подачи гимназии заявления в порядке, установленном статьей 14 Закона о защите персональных данных, либо в форме, посредством которой получено его согласие;

получение информации, касающейся обработки своих персональных данных, содержащей;

наименование и место нахождения учреждения образования;

подтверждение факта обработки персональных данных гимназией (уполномоченным лицом);

его персональные данные и источник их получения;

правовые основания и цели обработки персональных данных, срок, на который дано его согласие;

наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;

иную информацию, предусмотренную законодательством;

заявление требований гимназии о прекращении обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;

обжалование действий (бездействий) и решений гимназии, нарушающих права субъекта персональных данных при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

23. Субъекты персональных данных обязаны:

представлять гимназии достоверные персональные данные;

своевременно сообщать гимназии об изменениях своих персональных данных; осуществлять свои права в соответствии с законодательством и ЛПА в области обработки и защиты персональных данных;

исполнять иные обязанности, предусмотренные законодательством в сфере защиты персональных данных при их обработке.

 

УСЛОВИЯ И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГИМНАЗИИ

 

24. Персональные данные в гимназии обрабатываются с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в сфере защиты персональных данных.
25. Гимназия не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
26. Гимназия в праве поручить обработку персональных данных от своего имени или в своих интересах уполномоченному лицу.
27. Доступ к обрабатываемым в гимназии персональным данным разрешается только работникам гимназии, занимающим должности, включенные в перечь должностей работников гимназии, осуществляющих обработку персональных данных.
28. Персональные данные в гимназии обрабатываются, как правило, с использованием компьютерных средств. Допускается обработка в установленном порядке персональных данных без использования средств компьютерных средств, если при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (алфавитная книга, журнал, список и другие).
29. Гимназия обрабатывает персональные данные в объеме, необходимом:

для осуществления образовательной деятельности по реализации основных и дополнительных образовательных программ, обеспечения безопасности, укрепления здоровья учащихся, создания благоприятных условий для разностороннего развития личности, в том числе обеспечения отдыха и оздоровления учащихся;

выполнения функций и полномочий работодателя в трудовых отношениях;

выполнения функций и полномочий экономического субъекта при осуществлении бухгалтерского и налогового учета.

30. Гимназия хранит персональные данные в течение срока, необходимого для достижения целей их обработки, а документы, содержащие персональные данные, - в течение срока хранения документов, предусмотренного номенклатурой дел, с учетом архивных сроков хранения.
31. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях, доступ к которым ограничен.
32. Персональные данные, обрабатываемые с использованием средств автоматизации, хранятся в порядке и на условиях, которые определяет политика безопасности данных средств автоматизации.
33. При автоматизированной обработке персональных данных не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) информационных систем.
34. Лица, ответственные за обработку персональных данных в гимназии, прекращают их обрабатывать в следующих случаях:

достигнуты цели обработки персональных данных;

истек срок действия согласия на обработку персональных данных;

отозвано согласие на обработку персональных данных;

обработка персональных данных неправомерна.

35. Гимназия обеспечивает конфиденциальность персональных данных.
36. Гимназия передает персональные данные третьим лицам в следующих случаях:

субъект персональных данных дал согласие на передачу своих данных;

передать данные необходимо в соответствии с требованиями законодательства в рамках установленной процедуры.

37. Уничтожение документов (носителей), содержащих персональные данные, производится путем дробления (измельчения).
38. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

 

ОСНОВНЫЕ ФУНКЦИИ И ПРАВА ДОЛЖНОГО ЛИЦА, ОТВЕТСТВЕННОГО ЗА ОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

39. Организация работы по осуществлению внутреннего контроля за обработкой персональных данных возлагается на одного из заместителей руководителя (далее – заместитель руководителя).
40. Организация работы по осуществлению внутреннего контроля за обработкой персональных данных включает в себя:

разработка ЛПА по вопросам защиты персональных данных;

мониторинг соблюдения требований законодательства и ЛПА в сфере защиты персональных данных, а также контроль наличия в учреждении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;

внесение предложений по приятию дополнительных мер, направленных на обеспечение защиты персональных данных;

организация ознакомления и обучения работников учреждения и иных лиц, непосредственно осуществляющих обработку персональных данных;

41. Заместитель руководителя, ответственный за осуществление внутреннего контроля за обработкой персональных данных вправе:

запрашивать и получать в установленном порядке сведения и материалы, необходимые для надлежащего выполнения функций, определенных настоящей Политикой и иными ЛПА в сфере защиты персональных данных;

вносить предложения, направленные на устранение причин и условий, способствующих совершению нарушений законодательства и ЛПА в сфере защиты персональных данных, а также на совершенствование внутреннего контроля за обработкой персональных данных;

 принимать участие в мероприятиях по вопросам, касающихся обеспечения защиты персональных данных;

требовать от работников учреждения принятия в соответствии с компетенцией необходимых мер к соблюдению требований законодательства и ЛПА в сфере защиты персональных данных;

привлекать работников учреждения, обладающих необходимыми знаниями и компетенцией в технической или в иных сферах, к обучению работников гимназии и иных лиц, непосредственно осуществляющих обработку персональных данных;

вносить в установленном порядке предложения о привлечении к дисциплинарной ответственности работников, нарушивших требования законодательства и ЛПА в сфере защиты персональных данных;

выполнять иные обязанности, предусмотренные ЛПА и организационно-распорядительными документами гимназии.

 

КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ

 

42. Контроль за соблюдением законодательства и ЛПА при обработке персональных данных осуществляется с целью оценки соответствия процесса обработки персональных данных в гимназии законодательству и ЛПА, а также полноты принимаемых мер, направленных на предотвращение и своевременное выявление нарушений законодательства на предотвращение и своевременное выявление нарушений законодательства при обработке персональных данных, выявленных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
43. Персональная ответственность за соблюдение требований законодательства и ЛПА при обработке персональных данных в гимназии, а также за обеспечение конфиденциальности и безопасности обработки персональных данных возлагается на работников учреждения, их непосредственных руководителей.
44. За нарушение законодательства и ЛПА при обработке персональных данных работники учреждения, по чьей вине произошло такое нарушение, в зависимости от характера и степени нарушения могут быть привлечены к дисциплинарной, административной или уголовной ответственности. 

больш падрабязна... / згарнуць